WSG上网行为管理做透明网桥部署有很多优势:
即插即用,不影响现有网络。
不需要修改原有设备的配置(交换机、路由器都不需要做任何修改)
可以利用到硬件bypass的功能,即使机器断电死机也不会断网。
对于二层交换机来说,只有一个网段,配置比较简单,只需要给网桥设置一个内网IP就可以。我就不再赘述了。本文主要介绍在三层交换机的环境下如何来配置WSG网桥。
首先要介绍下子网掩码的概念,子网掩码决定了一个网段内的IP数量。比如255.255.255.0的子网掩码,可以容纳254个IP地址。而防火墙和三层交换机,有些情况下为了安全需要,会采用255.255.255.252的子网掩码,这个网段只能容纳2个IP地址。如图:
如上图所示,防火墙的IP是172.16.1.1,三层交换机的IP是172.16.1.2。但是由于子网掩码设置的是255.255.255.252,这个网段就已经没有剩余的可用IP了。
所以,WSG网桥部署主要分为两种情况:
1. 防火墙和三层交换机网段有空余IP
防火墙和三层交换机网段有空余IP时,管理口可以设置在网桥上,IP地址配置成防火墙网段即可。这种情况下WSG只需要接两根网线,一进一出。如下图:
2. 防火墙和三层交换机网段没有空余IP
防火墙和三层交换机网段没有空余IP时,管理口不能设置在网桥上,必须采用单独的管理口接到三层交换机的VLAN上。IP地址也配置该VLAN的IP地址。这种情况下WSG需要接三根网线,一进一出做网桥,还有一根网线接在管理口上。如下图: